横向移动
本文约需 2 分钟阅读
横向移动 (Lateral Movement) 是指攻击者在网络内确保最初的立足点后,为了到达价值更高的系统和数据而在网络内横向移动的攻击手法。最先被入侵的往往是普通用户的终端,攻击者从那里逐步移动,以夺取管理员权限或到达域控制器为目标。在勒索软件攻击中,横向移动会将加密扩散到整个组织的系统,因此这一阶段的检测与阻断决定了受害规模。
在杀伤链中的定位
在网络杀伤链框架中,横向移动位于初始访问 (Initial Access) 与目标行动 (Actions on Objectives) 之间。攻击者经过侦察、武器化、投递、漏洞利用和安装确保立足点,再从那里通过横向移动接近高价值目标。
代表性手法
攻击者会使用各种手法进行横向移动。由于它们都滥用正规的认证机制和管理工具,因此很难与正常流量区分开来。
直接将密码的哈希值用于认证的手法。利用 NTLM 认证的规范,即使不知道明文密码也能登录其他机器。
窃取并重用 Kerberos 认证票据 (TGT/TGS) 的手法。在 Active Directory 环境中尤为有效,可访问域内任意服务。
使用窃取的认证信息连接远程桌面或 SSH,直接操作其他机器。由于使用正规的管理工具,因此难以检测。
Active Directory 的滥用
Windows 环境中的 Active Directory (AD) 是横向移动的主战场。由于 AD 集中管理域内的所有用户、计算机和组策略,一旦域控制器被掌控,整个组织便会沦陷。攻击者使用 Mimikatz 等工具提取内存中的认证信息,并通过 Golden Ticket 攻击永久获取域管理员权限。从 IAM 的角度来看,保护特权账户和轮换认证信息至关重要。
通过微分段进行防御
将网络分段进一步细分的微分段,是应对横向移动最有效的防御措施之一。通过以工作负载为单位隔离网段,并严格控制网段间的通信,即使攻击者入侵了 1 台机器,也能在物理上阻断向相邻机器的移动。它是零信任架构的核心要素,在云原生环境中,软件定义的微分段正逐渐成为标准方法。
通过 EDR / NDR 进行检测
EDR (Endpoint Detection and Response) 监视端点上可疑的进程执行和文件访问,以检测横向移动的迹象。NDR (Network Detection and Response) 分析网络流量,检测异常的内部通信模式 (例如,从普通用户终端到域控制器的直接连接)。将两者结合,便可从端点和网络两个方面捕捉横向移动。网络攻击防御相关书籍 (Amazon)可帮助你深入了解检测技术的细节。
现场使用案例
“一台终端通过钓鱼邮件被入侵,但微分段阻断了攻击者的横向移动,受害被限制在那一台终端上。我们通过 EDR 的告警在 15 分钟内检测到入侵,并将该终端从网络中隔离,成功实现了遏制。”
勒索软件对策在勒索软件防御的文章中、内部威胁的应对在内部威胁对策的文章中、零信任的实现在零信任安全的文章中有详细讲解。
这篇文章对您有帮助吗?